クラウドのセキュリティに対するベストプラクティスの作成を目標に活動している米クラウドセキュリティアライアンス(Cloud Security Alliance、略してCSA)が、2009年12月17日にガイダンスのバージョン2.1を公開した。ここではバージョン2.1の概要、特にバージョン1.0からの変更点について記述するとともに、CSAの方向性や日本での活動状況について記述する。なおバージョン1.0は米CSAのサイトから英語版を入手可能であり、日本語版も近くインプレスR&Dが有料でオンライン販売する。
CSAガイダンス バージョン2.1の概要
2009年4月に公開されたバージョン1.0とバージョン2.1の違いは、大きく以下の4点に集約される。つまり、(1)提案(recommendation)中心の内容、(2)他の標準化団体/グループとの協調を文書化、(3)エディタによるクラウドセキュリティへの取り組み方法の紹介、(4)15個のドメインを13個に集約、である。
(1)提案(recommendation)中心の内容
バージョン1.0では、「問題提起」から始めて「検討を行わなければいけないこと」についての記述が中心であり、「ガイダンス」という点では少しまとまりに欠けるところがあった。これに対しバージョン2.1では、各ドメインの内容を「提案」中心に説明しており、クラウド利用者やクラウド事業者がどのような方法を取るべきであるか、また、どのようなことを検討しなければならないかという点を明確にしている。その意味で、よりガイダンスという趣旨に近づいたものと言える。
半面、バージョン1.0でフォーカスしていた「問題提起」の部分を簡略化している。バージョン2.1の冒頭に説明があるが、ドメインごとの調査研究内容を別の形でホワイトペーパーとして公開することにしているからと見られる。クラウドセキュリティの個々のドメインの詳細を理解したい人は、各ドメインごとのホワイトペーパーを参照し、より深い内容を押さえることができるようになる。ただし本稿執筆時点では、ドメインごとのホワイトペーパーはまだ公開されていないため、その内容についてはまだ分からない。トータルで見れば、クラウドを実際に利用あるいは運営する人や組織にとって、バージョン2.1はより実践的な内容になったと言えるだろう。
ただし、だからといってバージョン1.0の価値が下がるわけではない。上記のようにバージョン1.0では、クラウドセキュリティというものにどのように取り組んでいくかという点から記述されているため、バージョン1.0とバージョン2.1の両方を参照すべきである。バージョン2.1の中でも、両方のバージョンのURLが記述されており、どちらもダウンロードすることが可能になっている。
(2)他の標準化団体/グループとの協調を文書化
CSAはバージョン1.0の公開以降、オンラインでの活動、個人的な地域のイベントの実施、また知識ベースの拡大に向けて、さまざま専門家との交流を行ってきている。バージョン2.1は、そのような活動を通して標準化団体や専門家グループとの協調関係が進んでいることがうかがわれる内容となっている。たとえばドメイン1のクラウドコンピューティングの定義において、U.S. National Institute of Standards and Technology (NIST)のモデルや、Jericho Forumのクラウド・キューブ・モデルを使用している。これにより共通の言葉を用いた議論が可能になるようにしている。
アプリケーションの移植性と相互運用性に対しても、同様に標準化団体や主要なベンダーとの協調を進めている。ガイダンスとしては文書化されていないが、Open Cloud Computing Interface Working GroupやAmazon EC2 API, SunのOpen Cloud APIなどとの協議を進めており、オープンで標準化されたAPIに向けての取り組みを進めているわけだ。セキュリティやクラウドの標準化団体だけでなく、Storage Network Industry Association (SNIA)のような団体とも幅広く活動を進めており、CSAが今後クラウドセキュリティの分野のハブとして機能していく可能性が高いことがわかる。
(3)クラウドセキュリティへの取り組み方法の紹介
実際のクラウド利用において、CSAのガイダンスの提案をすべて取り込む必要はないし、それは必ずしも現実的ではない。バージョン2.1では、シンプルなプロセスが紹介されている。完全ではないが、クラウドの利用を開始するにあたって最初に考えなければならない点をまとめており、以下の5段階のステップを取ることを進めている。
- クラウドに展開する資産の特定を行う
- 資産の評価を行う
- 想定しているクラウドモデルに資産をマップする
- 想定しているクラウドサービスモデルと事業者を評価する
- データの流れをスケッチする
ステップを踏むことで、リスクの評価や潜在的な漏洩の可能性を理解し、組織やクラウドへの展開方法に関する最適なオプションを選択することができるようにしている。
(4)15個のドメインを13個に集約
バージョン2.1では、15個あったドメインを13個に集約している。具体的には、ドメイン3「法律」とドメイン4「電子情報開示」を統合し、ドメイン3にした。それに、ドメイン6「情報ライフサイクル管理」とドメイン14「ストレージ」を統合し、「データライフサイクル管理」とした、という2つである。「法律」と「電子情報開示」については、デジタル化された情報に対する法的な問題を扱うという観点から統一して扱い、また、それにともなった提案を行うことで理解しやすくなっている。
「情報ライフサイクル管理」と「ストレージ」が統合した「データライフサイクル管理」は、ドメイン名こそ「情報ライフサイクル管理」としているが、その中でデータがどのように作成、保存、利用、共有、アーカイブ、廃棄されるかという流れを持ち、それぞれでどのようなセキュリティ対策が施されるべきかという記述となっている。
CSAの方向性および日本での活動状況
バージョン2.1の公開により、CSAの目的であるクラウドコンピューティングのセキュリティのベストプラクティスを作り出す方向性がより明確になった。バージョン2.1の中心が「提案」という形になり、クラウドの利用者および事業者が実際に必要とするガイダンスになってきたということから、それは明らかである。
CSAでは、バージョン2.1で「提案」している項目に対して、今後、チェックリストやエグゼクティブ・サマリーの提供を予定しており、より利用しやすい形態にする見通しだ。さまざまな標準化団体との協調、さまざまな企業の参画も進んでおり、CSAをハブとしたクラウドセキュリティの流れができてきているという感じを受ける。
日本では、ASP・SaaSインダストリコンソーシアム(ASPIC)がバージョン1.0に続き、バージョン2.0日本語版制作に取り組んでいる。また、さまざまな関係者がCSAの取り組みに参加を始めており、クラウドセキュリティに対する大きな流れとなっていくのではないかと思われる。
- 諸角 昌宏
- 外資系コンピュータ・メーカーで、ソフトウェアの開発に従事。特に、国際化ライブラリやUNIX、データベースの開発を担当。その後、外資系セキュリティ・ベンダーで、テクニカルサポートのマネージメントを行い、現在は、セキュリティ・ソリューションの日本における立ち上げおよびビジネス・ディベロップメントに携わっている。